[보안] 동일출처 정책

1️⃣ 동일 출처 정책(Same Origin Policy, SOP)

브라우저가 사용자가 방문하는 사이트를 신뢰하지 않기 때문에 브라우저는 기본적으로 내 서버가 아닌 다른 서버에서 받아온 데이터는 차단 함.

• 브라우저는 토큰이나 쿠키 등과 같이 사용자의 정보와 관련된 데이터를 저장하는데, 해커가 탈취해 (XSS, CSRF) 인증 요청에 이를 실어보내고 얻은 정보를 해커의 서버로 보내버리면 심각한 문제가 됨
• 예를 들어 https://www.naver.com URL로 서버에 요청을 보내면 서버는 https://www.naver.com URL로만 응답을 보낼 수 있음
• SOP의 빡빡한 정책 때문에 외부에서 데이터를 불러오진 못하지만, CSRF나 XSS 같은 보안 취약점 공격으로부터 안전

2️⃣ 교차 출처 리소스 공유(Cross Origin Resource Sharing, CORS)

• SOP가 동일한 출처간에만 요청과 응답을 허용하는 정책이였다면 CORS는 그와 반대로 서로다른 출처간에도 요청과 응답을 허용하는 정책
• Origin이 달라도 서버에서 CORS옵션을 허용해주면 다른 Origin으로 응답을 보냄

1) Simple Request

2) Preflight Request